mux vlan和端口隔离 vlan内端口隔离

转载

mob6454cc6ff2b9 2024-05-25 17:18:36

文章标签 mux vlan和端口隔离安全网络运维华为 文章分类 云原生云计算

端口隔离

概念

为了实现报文之间的二层隔离，用户可以将不同的端口加入不同的VLAN，但这样会浪费有限的VLAN资源。
采用端口隔离功能，可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中，就可以实现隔离组内端口之间二层数据的隔离。
如果用户希望隔离同一VLAN内的广播报文，但是不同端口下的用户还可以进行三层通信，则可以将隔离模式设置为二层隔离三层互通；如果用户希望同一VLAN不同端口下用户彻底无法通信，则可以将隔离模式配置为二层三层均隔离即可。
缺省情况下，端口隔离模式是二层隔离三层互通，若需要配置二三层都隔离可以执行port-isolate mode all命令配置。

端口隔离，是基于交换机接口，对接口间的访问做限制，从而影响VLAN通信

隔离机制

同一个隔离组的端口之间不能互相访问。
不同的隔离组端口之间可以互相访问。
隔离端口和非隔离端口可以互相访问。
隔离端口仅在交换机本地实现隔离，跨交换机无法实现隔离。（例：两个交换机的某个端口都是隔离组1，依然无法隔离）。

应用场景

mux vlan和端口隔离 vlan内端口隔离_运维

配置

interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
 port-isolate enable          //使能端口隔离功能
 port-isolate enable group 1  //将端口放入隔离组1
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 10
 port-isolate enable group 1

端口安全

概念

在对接入用户的安全性要求较高的网络中，可以配置端口安全功能，将接口学习到的MAC地址转换为安全动态MAC、安全静态MAC或Sticky MAC，接口学习的最大MAC数量达到上限后不再学习新的MAC地址，只允许这些MAC地址和路由器通信。这样可以阻止其他非信任的MAC主机通过本接口和路由器通信，提高路由器与网络的安全性。

端口安全的作用

限制端口学习的MAC地址数量，防止MAC地址泛洪攻击。
只允许特定的SMAC的数据帧进行通信，防止SMAC地址欺骗攻击。

应用场景

mux vlan和端口隔离 vlan内端口隔离_华为_02

端口安全经常使用在以下两种场景

应用在接入层设备，通过配置端口安全，绑定接入用户的MAC地址与vlan信息，可以防止非法用户接入。
应用在汇聚层设备，通过配置端口安全，设置每个端口可学习到的最大MAC地址数，当学习到的MAC地址数达到上限时，其他的MAC地址的数据包将被丢弃，可以控制接口的接入数量。

接入层使用时注意：
如果接入用户变动比较频繁，可以通过端口安全把动态MAC地址转换为安全动态MAC地址。这样可以在用户变动时，及时清除绑定的MAC地址表项。
如果接入用户变动较少，可以通过端口安全把动态MAC地址转换为Sticky MAC地址。这样在保存配置重启后，绑定的MAC地址表项不会丢失。

端口安全分类

类型	定义	特点
安全动态MAC地址	使能端口安全而未使能Sticky MAC功能时转换的MAC地址	设备重启或接口重启表项会丢失，需要重新学习。缺省情况下不会被老化，只有在配置安全MAC的老化时间后才可以被老化
安全静态MAC地址	使能端口安全时手工配置的静态MAC地址	不会被老化，手动保存配置后重启设备不会丢失
Sticky MAC地址	使能端口安全后又同时使能Sticky MAC功能后转换得到的MAC地址	不会被老化，手动保存配置后重启设备不会丢失

安全动态MAC地址：默认只能学习一个MAC地址，将端口第一个得到的动态MAC地址转换成安全动态MAC地址。
安全静态MAC地址：将每一个动态MAC地址手工配置成安全静态MAC地址，工作量非常大，但安全系数最高。
Sticky MAC地址：无需管理员收集用户的MAC地址，减轻工作量，假定用户目前的MAC地址是合法的，那么就适用粘的功能，自动绑定成Sticky MAC地址，保存配置到一个以.ztbl/.ctbl结尾的文件中，但是在当前运行配置中无法看到配置后的命令。

端口安全类型
接口启用端口安全功能时，接口上之前学习到的动态MAC地址表项将被删除，之
后学习到的MAC地址将变为安全动态MAC地址。
接口启用Sticky MAC功能时，接口上的安全动态MAC地址表项将转化为Sticky
MAC地址，之后学习到的MAC地址也变为Sticky MAC地址。
接口禁用端口安全功能时，接口上的安全动态MAC地址将被删除，重新学习动态
MAC地址。
接口禁用Sticky MAC功能时，接口上的Sticky MAC地址会转换为安全动态MAC地
址。

端口安全限制动作

动作	实现说明
restrict	丢弃源MAC地址不存在的报文并上报告警。推荐使用restrict动作
protect	只丢弃源MAC地址不存在的报文，不上报告警
shutdown	接口状态被置为error-down，并上报告警。默认情况下，接口关闭后不会自动恢复，只能由网络管理人员在接口视图下使用restart命令重启接口进行恢复

配置

interface GigabitEthernet0/0/1
 port-security enable                 //使能端口安全
 port-security max-mac-num 3          //设置最大MAC地址数
 port-security mac-address sticky     //使能Sticky MAC功能
 port-security mac-address sticky H-H-H vlan 1    //手工配置安全MAC地址
 port-security aging-time             //配置端口安全MAC地址老化时间